bg-tutorials

如何在 Postfix 上安装 SSL 证书

本指南详细说明了如何在 Postfix 邮件传输代理上安装 SSL 证书。 它还包括有关在哪里为 Postfix 购买最佳 SSL 证书的有用信息。

如果您已经生成了 CSR 代码,只想了解安装指南,请跳过第一部分。

目录

  1. 在 Postfix 上生成 CSR 代码
  2. 在 Postfix 上安装 SSL 证书
  3. 测试 Postfix 安装
  4. 在哪里购买适用于 Postfix 的最佳 SSL 证书?
内嵌文本

我们还录制了一段视频,带您了解整个过程。 您可以观看视频,也可以阅读说明,或者两者兼而有之。 您可以观看下面的视频。

在 Postfix 上生成 CSR 代码

要从可信 CA(证书颁发机构)获取 SSL 证书,必须向 SSL 提供商提交 CSR(证书签名请求)。 CSR 是一个编码文本块,包含您的联系数据,如网站和公司信息。

您有两个选择:

  1. 使用我们的CSR 生成器自动创建 CSR。
  2. 请按照我们的教程逐步操作,了解如何在 Postfix 中生成 CSR

在向 SSL 供应商订购的过程中,你必须打开 CSR 文件,并将整个文本复制粘贴到相应的框中。 使用记事本等文本编辑器打开 CSR 代码。

在 Postfix 上安装 SSL 证书

CA 验证 SSL 请求并将必要的 SSL 文件发送到收件箱后,就可以开始安装 SSL 了。 请执行以下操作:

步骤 1. 准备 SSL 文件

Postfix 支持X.509 格式的 SSL 证书。 正确安装需要以下文件:

  • 你的私钥文件:你已经在服务器上生成了密钥文件和 CSR 代码。
  • 你的主 SSL 证书:它位于你从 CA 收到的 ZIP 归档文件夹中。 检查电子邮件并下载,然后提取 SSL 证书。 在本演示中,我们将把主 SSL 证书文件命名为 .ct
  • 中间 CA:这是与 SSL 证书在同一 ZIP 文件夹中的 CA 捆绑(.ca-bundle)文件。 在我们的例子中,我们将把文件命名为 intca.crt

注意:您可以将所有三个文件放在一个目录中。 例如,/etc/postfix。

步骤 2. 将 SSL 证书添加到 Postfix

根据您的 Postfix 版本,有两种方法:

适用于 Postfix 3.4 及更新版本

创建一个 “链文件”,其中包含密钥、服务器证书和中间件,顺序完全相同。

cat /path/to/privkey.key /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/rsachain.pem

这种现代方法避免了滚动问题,并可与 Postfix 的 smtpd_tls_chain_files.

替代品(所有版本)

将密钥分开,只将服务器证书与中间证书合并:

cat /path/to/server.crt /path/to/intermediate.pem > /etc/postfix/server.pem

您将在 Postfix 配置中同时引用该捆绑包和私钥。

步骤 3:配置 Postfix

编辑/etc/postfix/main.cf 并选择与您的设置相匹配的配置样式:

选项 A – Postfix ≥ 3.4(推荐):

smtpd_tls_chain_files = /etc/postfix/rsachain.pem
smtpd_tls_security_level = may

方案 B–遗产

smtpd_tls_cert_file = /etc/postfix/server.pem
smtpd_tls_key_file = /etc/postfix/privkey.key
smtpd_tls_security_level = may

对端口 25 的入站 SMTP 使用may不要在公共 MX 服务器上设置 encrypt ,因为这会破坏与纯发件人的兼容性。

Postfix 已禁用 SSLv2/SSLv3 和弱密码,因此除非需要客户端证书认证,否则不需要额外的黑名单。

确保提交服务(端口 587)的安全

如果用户通过 Postfix 发送邮件(通过 Outlook、Thunderbird、Apple Mail 等),他们将通过 587 端口连接。这是提交端口,与用于服务器到服务器发送的 25 端口不同。

在这里,您可以执行更严格的规则,因为只有通过身份验证的用户才会受到影响。在/etc/postfix/main.cf 中添加

smtpd_tls_mandatory_protocols = >=TLSv1.2

/etc/postfix/master.cf 中,确保已启用提交功能,您可以这样覆盖:

submission inet n - n - - smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_tls_mandatory_protocols=>=TLSv1.2

步骤 4:重新加载 Postfix

通过重新加载 Postfix 来应用更改:

postfix reload
# or
systemctl reload postfix

步骤 5:验证证书

检查 Postfix 是否使用 OpenSSL 提供正确的链:

openssl s_client -starttls smtp -connect yourdomain.com:25 -servername yourdomain.com </dev/null \
| openssl x509 -noout -issuer -subject

您应该能看到服务器证书和正确的发行者链。 恭喜,您已成功在 Postfix 上安装了 SSL 证书。

测试 SSL 安装

在 Postfix 上安装 SSL 证书后,为了安全起见,最好对新安装进行扫描,检查是否存在潜在错误或漏洞。 有了这些功能强大的SSL 工具,你就可以获得 SSL 证书及其配置各方面的即时报告。

在哪里为 Postfix 购买最佳 SSL 证书?

你已经到达目的地了! 在 SSL Dragon,我们以难以置信的低价提供最广泛的 SSL 产品。 我们的所有证书都与 Postfix 邮件传输代理兼容。

如果您不知道该选择什么证书,或者正在努力寻找适合您网站的完美产品,我们快速直观的SSL 向导高级证书筛选工具将使您的搜索更高效、更愉快。

如果你发现任何不准确的地方,或者你对这些 SSL 安装说明有任何细节需要补充,请随时发送反馈到[email protected] 如果您能提供意见,我们将不胜感激! 谢谢。

立即订购 SSL 证书, 可节省 10% 的费用!

快速发行, 强大加密, 99.99% 的浏览器信任度, 专业支持和 25 天退款保证. 优惠券代码 SAVE10

龙飞行的详细图像
撰写人

经验丰富的内容撰稿人, 擅长 SSL 证书. 将复杂的网络安全主题转化为清晰, 引人入胜的内容. 通过有影响力的叙述, 为提高数字安全作出贡献.